按照國際慣例,從最基本的說起。
作者目前的作業系統為:Windows 10 專業版
抓包軟體為:Wireshark2.0.4 WinPcap版本:4.1.3
抓取封包:
下載下傳和安裝好Wireshark之後,啟動Wireshark并且在接口清單中選擇接口名,然後開始在此接口上抓包。例如,如果想要在無線網絡上抓取流量,點選無線接口。點選捕獲Capture 選項Options可以配置進階屬性,但現在無此必要。
點選接口名稱之後,就可以看到實時接收的封包。Wireshark會捕捉系統發送和接收的每一個封包。如果抓取的接口是無線并且選項選取的是混合模式,那麼也會看到網絡上其他封包。
上端面闆每一行對應一個網絡封包,預設顯示封包接收時間(相對開始抓取的時間點),源和目标IP位址,使用協定和封包相關資訊。點選某一行可以在下面兩個視窗看到更多資訊。“+”圖示或者“>”顯示封包裡面每一層的詳細資訊。底端視窗同時以十六進制和ASCII碼的方式列出封包内容。
需要停止抓取封包的時候,點選左上角的停止按鍵。
色彩辨別:
進行到這裡已經看到封包以綠色,藍色,黑色顯示出來。Wireshark通過顔色讓各種流量的封包一目了然。比如預設綠色是TCP封包,深藍色是DNS,淺藍是UDP,黑色辨別出有問題的TCP封包——比如亂序封包。
封包樣本:
比如說你在家安裝了Wireshark,但家用LAN環境下沒有感興趣的封包可供觀察,那麼可以去Wireshark wiki下載下傳封包樣本檔案。
打開一個抓取檔案相當簡單,在主界面上點選打開并浏覽檔案即可。也可以在Wireshark裡儲存自己的抓封包件并稍後打開。
過濾封包:
如果正在嘗試分析問題,比如打電話的時候某一程式發送的封包,可以關閉所有其他使用網絡的應用來減少流量。但還是可能有大批封包需要篩選,這時要用到Wireshark過濾器。
最基本的方式就是在視窗頂端過濾欄輸入并點選Apply(或按下回車)。例如,輸入“dns”就會隻看到DNS封包。輸入的時候,Wireshark會幫助自動完成過濾條件。
也可以點選分析Analyze菜單并選擇顯示過濾器Display Filters來建立新的過濾條件。
另一件很有趣的事情是你可以右鍵封包并選擇追蹤TCP流。
關閉視窗之後,你會發現過濾條件自動被引用了——Wireshark顯示構成會話的封包。
檢查封包:
選中一個封包之後,就可以深入挖掘它的内容了。
也可以在這裡建立過濾條件——隻需右鍵細節并使用應用過濾器Apply as Filter子菜單,就可以根據此細節建立過濾條件。